Können Personendaten von Kunden ohne deren Wissen von einem Unternehmen zum anderen übertragen werden?
Die Finanzgesellschaft X organisiert eine Marketingveranstaltung
Um das Vorhaben umzusetzen, benötigt und erhält sie von ihrer Wirtschaftsprüfungsgesellschaft Y deren Kundendatei.
So werden zweitausend Einladungen zur verschickt. Z, ein Kunde von Y, geht zur Veranstaltung und erkennt einen seiner Führungskräfte. Er fragt X nach der Herkunft seiner personenbezogenen Daten.
X kann keine präzise Antwort geben, weil sie mehrere Dateien miteinander verbunden hat, um die neue Datei "Prospects" zu erstellen. Z fragt dann Y, welche Personendaten sie von ihm an X übermittelt hat.
Die Vertraulichkeit der Auditwelt wird verletzt worden, was Anlass für einen Skandal ist.
Empfehlungen
Die im DSG vorgesehenen Grundsätze für die Bearbeitung von Personendaten sehen insbesondere vor, dass diese erkennbar sein muss und dass die Daten vertraulich behandelt werden müssen, sofern nicht anders angegeben. Dies bedeutet, dass Personendaten von Kunden oder Mitarbeitern ohne Wissen der betroffenen Personen nicht an Drittunternehmen weitergegeben werden dürfen. Die Weitergabe kann rechtmäßig sein, wenn sie durch Gesetz, Vertrag oder die allgemeinen Geschäftsbedingungen gerechtfertigt ist oder wenn die betroffenen Personen selbst zugestimmt haben.
Grundprinzipien
Art. 4 DSG Transparenz, Art. 7 Datensicherheit (Vertraulichkeit)
Praxisbeispiel
Siehe Informationen des EDÖB zur Verantwortlichkeit des Arbeitgebers bei der Bearbeitung von Personendaten.
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/handel-und-wirtschaft/unternehmen/verantwortlichkeit.html